Сайтты қалай қорғауға болады? Веб-сайт қауіпсіздік нұсқаулығы

Бұл мақаланы тыңдаңыз

Веб-сайт қауіпсіздігі немесе веб-сайтты қорғау жолы? Кейбір бұзулар мүлдем күлкілі себептермен орын алады: уақтылы жаңартулар, әлсіз құпия сөздер және т.б.. Осы маңызды веб-сайт қауіпсіздік нұсқаулығында мен сізге веб-сайтты қалай қорғау керектігін көрсетемін:

• Тіпті… сіз веб-сайт қауіпсіздігін жаңадан меңгерген болсаңыз және бұл нені білдіретінін толық түсінбесеңіз;
• Тіпті… бұрын сайтыңызды қорғауға тырысып, сәтсіздікке ұшыраған болсаңыз да;
• Тіпті… негізгі жұмыстың қамы толып, неден бастарыңызды білмей жатсаңыз да;
• Тіпті егер... сіз: «Мен хакерлерге тең келер емеспін - неге бірдеңе істеуге тырысамын?» деп ойлайсыз.

Бірақ одан да маңыздысы, мен бірінші кезекте веб-сайттарымыздың қауіпсіздігі туралы ойлауды қалай бастайтынымыз туралы сөйлесемін. Осылайша сізде сайтыңыз үшін дұрыс (қауіпсіздік) шешімдер қабылдауға қажетті барлық құралдар бар. Мүмкіндігінше ақпарат болады, өзіңізге бір шыны шай немесе кофе құйып, дайындалыңыз.

Мақаланың мазмұны:

• Сайт қауіпсіздігі дегеніміз не?
• Неліктен веб-сайт қауіпсіздігі маңызды?
• Сайтты хакерлерден қалай қорғауға болады? (Тиімді қадамдар)
• Веб-сайтты қорғаудың жақсы тәжірибелері
• Веб-сайтыңызды қорғау кезінде неден аулақ болу керек?
• Егер сіздің сайтыңыз бұзылса не істеу керек?
• Барлығы бір WP қауіпсіздік және брандмауэр - WordPress сайтының қауіпсіздігі
• Шығару

Сайт қауіпсіздігі дегеніміз не?

Веб-сайтыңызды қорғау үшін кейбір қадамдар жасап жатқаныңыз өте жақсы. Сайт қауіпсіздігі сізден мерзімді назар аударуды талап ететін үздіксіз процесс екенін түсінуіңіз керек. Хакерлер шығармашылық адамдар, сондықтан қауіптер үнемі дамып отырады.

Сайт қауіпсіздігі - бұл сіздің веб-сайтыңызды және пайдаланушыларды хакерлерден және олардың зиянды бағдарламаларынан қорғау жоспары. Бұл сіздің веб-сайтыңыздың құрамдастарын, олардың қалай бірге жұмыс істейтінін және қандай осалдықтары бар екенін түсінуді қамтиды.

Бұл іргетас орнатылғаннан кейін осалдықтардан қорғау үшін кешенді қауіпсіздік жоспарын құрастыру қажет. Бұған конфигурациялау қадамдары, саясаттарды енгізу және қауіп туралы ақпаратты жаңарту кіреді.

Веб-сайтты қорғаудың кілті - бұл бір реттік нәрсе емес екенін түсіну. Қауіпсіздік дамиды, өйткені қауіптер дамып келеді.

Төмендегі мақалада сіз жақсы қауіпсіздік плагині зиянды бағдарламаларға қатысты қиын жұмыстың көп бөлігін орындайтынын көресіз, бірақ абай болу және сергек болу бірінші кезекте веб-сайттың қауіпсіздігін қамтамасыз етеді.

Неліктен веб-сайт қауіпсіздігі маңызды?

WordPress-ті миллиондаған адамдар пайдаланады, сондықтан ол қауіпсіз шығар, солай емес пе? Иә және жоқ.

— Иә, WordPress негізгі файлдары қорғалғандықтан, осалдық табылса да, ол өте тез түзетіледі.

- Жоқ, өйткені сіздің сайт WordPress-тің өзегі ғана емес. Бұл сіздің сайтыңызды функционалды, интерактивті және тартымды етуге көмектесетін плагиндер мен тақырыптардың тіркесімі. Бұл плагиндер мен тақырыптар WordPress функционалдығын жақсартады, сонымен қатар осалдықтардың әлеуетін арттырады. Жақсы плагин әзірлеушілер осалдықтарды тез түзетеді. Бірақ бұл жағынан қауіп әлдеқайда жоғары.

Сайтты хакерлерден қалай қорғауға болады? Әрекет қадамдары

Веб-сайтыңызды қорғаудың тиімді жоспарын жасау үшін бірінші қадам веб-сайттардың қалай бұзылатынын түсіну болып табылады. Келесі зерттеуге сәйкес, веб-сайттар негізінен үш жолмен бұзылады:

• 90+% - WordPress плагиніндегі немесе тақырыптағы осалдық.
• 5+% - бұзылған пайдаланушы аты және/немесе құпия сөз.
• <1% - нашар веб-хостинг қызметтері.

Бұл бөлу сіздің сайтыңызды қорғауды қалай жоспарлайтыныңызға және көбірек уақыт пен ресурстарды қайда бөлуге болатыныңызға негіз болуы керек.

1. Сайтыңызды осалдықтардан қорғаңыз

Хакерлер үнемі осал веб-сайттарды іздейді. Сайттың үлкен немесе кіші болуы маңызды емес. Олардың кез келген дерлік веб-сайтты бұзудың көптеген артықшылықтары бар. Біздің тәжірибемізде барлық бұзушылықтардың 90% астамы хакерлердің осалдықты тауып, пайдалануына байланысты.

Қандай осалдықтар бар екенін егжей-тегжейлі қарастырайық. Болашақта веб-сайтыңыздың қауіпсіздік стратегиясын саналы түрде қалыптастыру үшін мұны түсіну өте маңызды.

Осалдық дегеніміз не?

Сіздің веб-сайтыңыз 3 негізгі компоненттен тұрады: WordPress, плагиндер және тақырыптар. Мұның бәрі негізінен бағдарламалық құрал және кез келген бағдарламалық жасақтама сияқты, кейде оның бұзылуына әкелетін қателер бар.

Қателердің әртүрлі салдары болуы мүмкін: олардың кейбіреулері веб-сайтыңызды баяулатады немесе біреу оған кірген кезде қатені тудырады. Бұл тітіркендіргіш және проблемалық, бірақ неғұрлым маңыздылары рұқсатсыз пайдаланушыларға (мысалы, хакерлер) веб-сайтыңызға кіруге мүмкіндік береді. Мұндай қате осалдық ретінде белгілі.

Осалдықтардың түрлері

Алдыңғы абзацта айтқанымыздай, осалдықтарды кодтағы қателер ретінде сипаттауға болады. Дегенмен, басқаларға қарағанда жиі кездесетін бірнеше ерекше түрлері бар:

1. Ескірген бағдарламалық қамтамасыз ету: негізгі, плагиндер мен тақырыптарды жаңартып отыру маңызды;
2. Нашар пайдаланушы рөлін басқару: әрбір пайдаланушыға толық әкімші рұқсатын бермеу;
3. Санитизацияланбаған кірістер: енгізу өрістері сақтау және/немесе орындау алдында енгізуді тексеруі керек.

Қауіпсіз веб-сайттағы ықтимал бұзулар

Осалдықтар олар рұқсат ететін шабуыл түрлерімен тығыз байланысты және жиі бір-бірін алмастырады. WordPress-те кездесетін ең көп таралған шабуылдар:

• Кодты енгізу: зиянды код енгізу өрістері арқылы енгізілгенде және веб-сайт коды немесе дерекқор арқылы орындалғанда. WordPress сияқты дерекқорға негізделген қолданбалар үшін өте қауіпті кодты енгізудің кең таралған SQL инъекция нұсқасы.
• Сайтаралық сценарийлер шабуылдары: осалдықтың бұл түрі пайдаланушының cookie файлдарын ұрлайды, олардың кейпіне енеді немесе тіпті сеансты басып алады. Мақсатты пайдаланушының рұқсаты сіздің сайтыңызға шабуыл жасау үшін пайдаланылады.
• Күшті шабуылдар: Аты айтып тұрғандай, шабуылдың бұл түріне ешқандай айла жоқ. Хакер дұрысын табу үшін кіру парағын пайдаланушы аты/пароль комбинацияларымен бомбалайды.
• SEO спамыA: Кез келген спам маңызды, бірақ бұл шабуыл веб-сайтқа ең көп зиян тигізеді: SEO. Веб-сайт иелері өздерінің SEO жүйесінде жұмыс істейтін ресурстарды ысырап етеді, тек хакер заңсыз немесе сұр тауарларға қалқымалы терезелер мен сілтемелерді енгізу арқылы артық пайда алу үшін. SEO спам-шабуылдарын анықтау қиынға соғады және көбінесе веб-сайттар спамның зиянды әсерін олар жұқтырғанын түсінбес бұрын сезінеді.
• Фишингтік шабуылдар: Бұл шабуылдарда хакер пайдаланушыны өз ақпаратын өз еркімен беруге алдап алу үшін заңды тұлға ретінде көрсетуге әрекеттенеді. Фишинг сол тіркелгі деректерін алу үшін электрондық поштамен және бұзылған веб-сайтпен бірге жұмыс істейді.

Әлсіздіктің әсері қандай?

Плагиндер мен тақырыптар бірнеше мың сайттарда орнатылған, сондықтан бұл бір кемшіліктің әсері бірнеше есе артады. Жауапты плагин мен тақырып әзірлеушілері жаңартуларды шығару арқылы өз өнімдерінде қауіпсіздік саңылауларын жабуға күш салуда.

Шын мәнінде, бұл мүмкіндігінше премиум плагиндерді таңдаудың негізгі себебі. Веб-сайттың қауіпсіздік стратегиясында бағдарламалық қамтамасыз етудің тұрақты техникалық қызмет көрсетуіне барынша назар аудару керек. Керемет, бұл қате түзетілді дегенді білдіреді. Біз қазір қауіпсізміз, солай ма? Мүлдем емес. Осалдықты анықтау сайт иелері үшін қауіпті уақыт.

Осалдық анықталған кезде не болады?

Осалдықтарды көбінесе веб-сайт қауіпсіздігін зерттеушілер анықтайды. Олар өз нәтижелерін плагинге немесе тақырып әзірлеушісіне хабарлайды. Алдыңғы бөлімде айтқанымыздай, жауапты әзірлеушілер мәселені шешуге және жаңартуды шығаруға тырысады.
Осалдық түзетілгенде, сайттың қауіпсіздік зерттеушісі өз нәтижелерін жариялайды. Әзірлеуші веб-сайттарды қауіпсіз сақтау үшін түзету шығарды, солай ма? Онша емес.

Хакерлер сондай-ақ осалдық туралы оқып, нұсқалары жаңартылмаған веб-сайттарды іздейді. Қоғамдық осалдықтар жаңадан келе жатқан хакерлерге (сонымен қатар сценарий балалары деп те аталады) ұнайды, өйткені олар енді веб-сайттарды еш қиындықсыз пайдалана алады. Олар өз мақсатының қайда екенін жақсы біледі.

Сайтты осалдықтардан қорғау үшін не істеу керек?

Енді мен сіздің веб-сайтыңызды хакерлерден қауіпсіз және қауіпсіз ұстау үшін нақты қадамдар туралы сөйлесемін. Бұл қадамдар қарапайым болып көрінуі мүмкін, бірақ олар сіздің сайтыңызды қорғаудың тиімді әдістері болып табылады.

1. Сақтық көшірмелерді жасаңыз

Сақтық көшірмелер сайттың қауіпсіздік стратегиясының ең бағаланбаған бөлігі болып табылады. Мен тұрақты сақтық көшірмелердің маңыздылығын баса айта алмаймын. Олар сіздің қауіпсіздік торыңыз, қателескен кезде сене алатын жалғыз нәрсе. Сақтық көшірмелер сайтты тез қалпына келтіруге көмектеседі.

2. Плагиндер мен тақырыптарды жаңарту

Бұл өте айқын көрінуі мүмкін, әсіресе жаңартулардың қаншалықты маңызды екендігі туралы алдыңғы бөлімді оқыған болсаңыз. Дегенмен, бақылау тақтасындағы қызыл хабарландыруды елемеу және шұғыл әрекетке кірісу өте оңай.

Сондықтан мен қайталаймын. Плагин әзірлеушілері бұл үшін қауіпсіздік түзетулері бар жаңартуларды шығарады. Жаңартуларды орнатуды кейінге қалдыруды шешсеңіз де, плагинді кейінірек, кем дегенде шығарылым жазбаларын оқығаннан кейін жаңартыңыз.

3. Сапалы плагиндер мен тақырыптарды таңдаңыз

Толық сенімді бағдарламалық жасақтаманың болуы екіталай, веб-сайтыңыз үшін дұрыс плагиндер мен тақырыптарды таңдаған кезде ескеру қажет негізгі факторлар бар:

• Плагин үнемі жаңартылып отырадыЖ: Өзінің әзірлеушісі тұрақты түрде жүргізетін плагин немесе тақырып осалдық анықталған жағдайда қауіпсіздік патчын алу ықтималдығы жоғары.
• Плагин танымал ма?? Бұл екі жүзді қылыш. Миллиондаған орнатулары бар танымал плагин хакерлерге бағытталған. Бірақ мұндай плагиндер әлдеқайда қауіпсіз, өйткені оларды көптеген әзірлеушілер басқарады.
• Бұл премиум плагин меA: Ақылы плагиндер әзірлеушілердің жұмысын қолдайды, сондықтан тегін плагиндерге қарағанда олардан бас тарту ықтималдығы әлдеқайда аз. Бұл ашық бастапқы бағдарламалық құрал ешқашан қауіпсіз емес дегенді білдірмейді, дегенмен премиум өніммен сіз тұтынушыларға қолдау көрсету және өнім сапасы үшін төлейсіз.
• Ешқашан бос плагиндер мен тақырыптарды орнатпаңызA: Қол жетімді премиум тегін бағдарламалық құрал көптеген деңгейлерде проблема тудырады. Нөлдік бағдарламалық жасақтама жиі орнатылғаннан кейін хакерлерге веб-сайтыңызға кіруге мүмкіндік беретін зиянды бағдарлама немесе бэкдорды қамтиды.

4. Брандмауэрді пайдаланыңыз

Хакерлерге немесе олардың боттарына сіз сияқты веб-сайттарға шабуыл жасауды тоқтатудың сенімді жолы жоқ. Дегенмен, брандмауэр орнату арқылы мүмкіндікті айтарлықтай азайтуға болады.

2. Пайдаланушы аты мен құпия сөзді қорғаңыз

Бұзылған веб-сайттардың шамамен 6% әлсіз құпия сөздерге байланысты шабуылдарға осал болды. Бұл тікелей зиянды әрекетпен салыстырғанда аз сан сияқты көрінуі мүмкін, бірақ ол әлі де назарыңызды аудару үшін жеткілікті.

Сайт әкімшісінің құпия сөзін жоғалту пәтерді немесе көлік кілттерін жоғалтумен бірдей. Кілт арқылы ұры сіздің құнды заттарыңызды толық басқарады. Сол сияқты, пароль арқылы хакерлер сіздің сайтыңызға және оның ақпаратына толық қол жеткізе алады. Қазіргі уақытта тіпті желіаралық қалқан немесе қауіпсіздік плагині де хакерлердің сайтыңызға зиян келтіруін тоқтата алмайды.

Күшті құпия сөздерге деген қажеттілік әлі де белсенді түрде алға тартылуда, бірақ қиындықтарға байланысты веб-сайт пайдаланушылары оны жиі елемейді. Жақсы беделге ие болу механизміне кіріспес бұрын, адамдар олар туралы жиі қойылатын сұрақтарға жауап берейік.

Құпия сөзді қалай ұрлауға болады?

Жауап күтпеген болуы мүмкін: хакер құпия сөзді тапқысы келеді. Бұл дегеніміз, олар әртүрлі құпия сөздерді қолмен қолданып көреді, бірақ боттарға арналған. Бұл сондай-ақ дөрекі күш шабуылы немесе егер бот сөздерді болжаса, сөздік шабуылы ретінде белгілі.

Бұл шабуылдар бірнеше себептер бойынша өте жақсы жұмыс істейді.:

• Құпия сөздерді табу оңай: ортақ сөздер, қысқа сөздер, «пароль» сөзінің өзі әртүрлі тіркесімде.
• Алдыңғы хакерлерден алынған деректер: Адамдардың әртүрлі қызметтер мен сайттар үшін әртүрлі құпия сөздерді пайдалануды ұсынатын себебі бар.

Өзіңізді құпия сөзді ұрлаудан қалай қорғауға болады

1. Күшті құпия сөзді пайдаланыңыз - Күшті құпия сөздер әріптердің, сандар мен таңбалардың кездейсоқ комбинациясын пайдаланады, себебі оларды бұзу қиын. Хакерлер боттарына дұрыс құпия сөзді табу үшін жылдар қажет болуы мүмкін. Күшті құпия сөзді өзіңіз жасап көруге немесе құпия сөз генераторын пайдалануға болады.

2. Жүйеге кіру әрекеттерінің санын шектеңіз - Қатаң күш шабуылын болдырмаудың жақсы жолы бірнеше сәтсіз кіру әрекеттерінен кейін зиянкестерді блоктау болып табылады. Бұл тиімді механизм, өйткені шабуылдың бұл түрі әртүрлі құпия сөздерді қайта-қайта қолданатын хакерлік боттардан тұрады.

3. Екі факторлы аутентификацияны іске асыру - Кейбір қызметтер кіру процесі кезінде екі факторлы аутентификацияны пайдаланады, бұл негізінен тіркелгіңізге кіру үшін екі (идеалды) бөлек таңбалауыш болуы керек дегенді білдіреді. Бұл көбінесе электрондық поштаға немесе құрылғыға жіберілетін құпия сөздер мен PIN немесе QR коды сияқты жарамдылық белгісінің тіркесімі.

4. CAPTCHA қорғауын іске қосыңыз - CAPTCHA-ны адамдар ғана шеше алады. Олар хакер-боттардың есептік жазбаға кіруіне жол бермеу үшін жасалған. Сіз оны сайтыңызды қорғау үшін пайдалана аласыз.

5. Брандмауэрді пайдаланыңыз - Кейбір веб-сайттың қауіпсіздік қалқандары зиянды IP мекенжайларын жаһандық деңгейде бақылайды. Брандмауэр плагин орнатылған барлық сайттарда үйренеді. Содан кейін ол сіздің құпия сөзіңізді бұзбай тұрып, нашар IP мекенжайларын автоматты түрде блоктайды. Бұл жүйеге кіруді шектеу мүмкіндігімен біріктіріліп, сіздің сайтыңызды әкімші аймағына кіруге тырысатын хакерлерден қорғай алады.

3. Жақсы хостинг провайдерін таңдаңыз

Веб-сайттағы барлық ақаулар үшін веб-хостты кінәлау үрдісі бар. Веб-хосттар әдетте веб-сайттың көптеген аспектілеріне жауапты болғанымен, веб-сайт бұзылған кезде олар сирек кінәлі болады. Шын мәнінде, керісінше: веб-хосттар веб-сайттардың қауіпсіздігін жақсартады.

Әрине, олардың серверінде орналастырылған веб-сайттарды бұзуда рөл атқаратын кейбір веб-хосттар бар. Бұл сирек болады, бірақ ол болған кезде бұл мыңдаған веб-сайттарға қауіп төндіретін үлкен оқиға.

4. SSL сертификатын орнатыңыз

SSL ретінде белгілі Secure Sockets Layer — веб-сайтқа барлық қосылымдарды шифрлайтын қауіпсіздік протоколы. Орнатылғаннан кейін ол сіздің сайтыңыздың URL мекенжайының басында құлып ретінде пайда болады.

SSL сертификатын пайдаланудың артықшылықтары төмендегідей:

• Веб-сайтыңызға және одан жіберілген барлық деректер шифрланған.
• Бұл сіздің сайтыңызға деген сенімнің белгісі. Шындығында, браузерлердің көпшілігі мекенжай жолағында SSL емес сайттарды «Қауіпсіз» деп белгілейді.
• Google SSL сертификаты бар веб-сайттарды жақсы көреді және тіпті оларды жоғары рейтингтермен марапаттайды.

Веб-сайтты қорғаудың жақсы тәжірибелері

Бастапқыда айтқанымдай, веб-сайт қауіпсіздігі тұрақты тәжірибе болып табылады. Бұл бөлімде мен сіздің жалпы веб-сайтыңыздың қауіпсіздік стратегиясына енгізуге пайдалы әдістерді тізімдеймін. Мұны істеуді әдетке айналдырғаннан кейін, сіздің уақытыңыз бен күш-жігеріңіздің кішкене инвестициясы қауіпсіз веб-сайтпен бірнеше есе өтеледі.

1. Құпия сөзіңізді жиі өзгертіңіз — Мен болжау қиын құпия сөздерді орнату қиын екенін түсінемін, әсіресе олар есте сақтау қиын құпия сөздермен жиі синоним болып келеді. Сондай-ақ біз тамаша құпия сөзімізді үнемі өзгертуді сұраған кездегі алаңдаушылықты елестете аламыз.

Себебі, құпия сөздер қауіпсіздіктің ең әлсіз сілтемесі болып табылады, әсіресе бірнеше тіркелгілер үшін бірдей құпия сөздерді пайдалансаңыз. Тіпті бір сайт бұзылған болса да, сіздің барлық тіркелгілеріңізге қауіп төнуі мүмкін деп сенімді түрде болжауға болады. Тұрақты сөз әртүрлі адамдар үшін әртүрлі мағынаны білдіруі мүмкін. Кейбір қаржы институттары, мысалы, банктер құпия сөздерді 90 күн сайын өзгертуді талап етеді.

2. Веб-сайт пайдаланушыларын тексеріңіз, жаңа әкімші пайдаланушыларын бақылаңыз — хакерлер көбінесе сайтқа кіру мүмкіндігін қалпына келтіру үшін әкімші пайдаланушыларын қалдырады. Сондықтан әкімші пайдаланушыларды үнемі тексеріп отыру веб-сайттың қауіпсіздігін арттырады.

Екіншіден, сайттың бірлескен авторлары өзгеруі мүмкін. Пайдаланушы енді кіруді қажет етпесе, оның сайтқа кіру рұқсатын алып тастаған дұрыс. Себебі екі түрлі:

1. пайдаланушының сайтыңызға қандай да бір өзгерістер енгізуін қаламайсыз;
2. олардың белсенді емес тіркелгілерін хакерлер бұзуы мүмкін.

Уақыт өте келе, біз сайтымызды жаңа мазмұнмен және дизайнмен құрастыра отырып, біз сайтымызға жаңа пайдаланушыларды қосуды жалғастырамыз. Сіз бұл пайдаланушыларды мерзімді түрде тексеріп тұруыңыз керек. Қауіпсіздік ережелерін өзіңіз ұстануға болады, бірақ бұзылған басқа пайдаланушы сайтыңызға әсер етеді. Пайдаланушыларды қосқанда, мүмкіндігінше оларға тек қажетті қатынас деңгейлерін беріңіз. Мысалы, егер біреу тек мақала жазса, оған әкімші құқығын бермеңіз.

3. Сайтыңызда әрекет журналын орнатыңыз Хакерлер веб-сайтты өзгерту үшін негізгі WordPress API интерфейстерін пайдаланбайды, сондықтан олар жасаған өзгерістердің көпшілігі әрекеттер журналында көрсетілмейді. Дегенмен, олар сайтқа кіру үшін әкімші тіркелгілерін жасау сияқты із қалдыруы мүмкін. Бұл күтпеген әрекеттер бұзушылықты анықтауға көмектеседі. Керісінше, өзгертулер серіктес арқылы жасалса, әрекет журналдары сайтыңызға енгізілген өзгерістерді көргенде қажетсіз дүрбелеңді болдырмауға көмектеседі.

4. Жүктеулер қалтасында PHP блоктау - Бүкіл осалдықтар класы (дәлірек айтқанда, қашықтан кодты орындау) хакерлерге зиянды PHP файлдарын Жүктеп салулар қалтасына жүктеп салуға мүмкіндік береді. Содан кейін хакер оны сіздің сайтыңыздағы кез келген кодты орындау үшін пайдалана алады. Басқаша айтқанда, олар сіздің сайтыңызды толығымен басқарады.

Жүктеп салулар қалтасындағы PHP файлдарының орындалуын блоктасаңыз, шабуылды тиімді түрде азайтуға болады. Уайымдамаңыз. Жүктеулер қалтасындағы PHP файлдарын блоктау қауіпсіз, себебі олар мүлде болмауы керек. Жүктеп салулар қалтасы сценарийлерді емес, медиа файлдарыңызды сақтайтын орын.

Веб-сайтыңызды қорғау кезінде неден аулақ болу керек?

Жылдам Google іздеу сайтыңызды қорғау үшін көптеген кеңестер мен стратегияларды береді. Бірнеше қауіпсіздік плагиндері сайтыңызды құпия сөзді бұзушылардан қорғаудың бірнеше нұсқасын ұсынады. Веб-сайтыңызды қорғау - бұл істеу керек нәрсе, бірақ кейбір нәрселерден аулақ болу керек.

Себептер мен төменде талқылайтын пункттердің әрқайсысы үшін әртүрлі, бірақ олардың негізінде шараларыңыз қауіпсіздіктің нақты артықшылықтарын қамтамасыз етуі керек, әсіресе пайдаланушыларыңыздан қосымша қауіпсіздік кедергілерін еңсеруді сұрасаңыз. Мысалы, егер сіз captcha және екі факторлы аутентификацияны қолдансаңыз, сайтыңызға кіру қиын болады, қосымша пайдасы шамалы.

Барлық қолжетімді опцияларды қолдану арқылы қосымша қауіпсіздік сезімін алуға болады, бірақ шығындар мен пайданы талдау тұрғысынан олар сызықты кесіп тастамайды.

1. wp кіру бетін жасыру - Сіз мұны көптеген форумдарда көресіз: wp-логин бетін сайтыңыздың URL мекенжайына өзгертіңіз. Логика мынада, егер хакерлер кіру бетін таба алмаса, олар сіздің сайтыңызға кіру үшін дөрекі күш шабуылдарын пайдалана алмайды. Мұның бірнеше кемшіліктері бар:

• WordPress сонымен қатар XML-RPC арқылы кіруге мүмкіндік береді.
• Бұл сіздің сайтыңызды пайдалануды қиындатады. wp-login орнына өзіңіз үшін жасаған арнайы URL мекенжайын ұмытсаңыз, одан қалпына келтіру қиын болуы мүмкін.
• Қауіпсіздік плагинімен бірге келетін жалпы URL мекенжайын немесе әдепкі URL мекенжайын пайдалансаңыз, хакерлерге сіздің мақсатыңызды толығымен бұзатынын болжау оңай.
• Бұл бетті жасыру басқа күтпеген жанама әсерлері болуы мүмкін сайтқа күрделі параметрлерді қолдануды талап етеді.

2. Геоблоктау Басқа жиі ұсынылатын қауіпсіздік шарасы геоблоктау болып табылады. Сізге белгілі бір елдерден заңды трафик қажет болмауы немесе күтілмеуі мүмкін, сондықтан кіруді шектеуді таңдауыңыз мүмкін.

• Аймақтар үшін IP мекенжайлары идеалды емес және қателер болуы мүмкін.
• Егер сіз өзіңізді қателесіп блоктасаңыз, оны қайтару қиын болады.
• Сайтыңызға зиян тигізбейтін Google сияқты жақсы боттарды блоктауыңыз мүмкін.

Жақсы брандмауэр сіздің сайтыңызды зиянды боттардан және қажетсіз трафиктен қорғай алады және қорғайды. Мен алдыңғы бөлімде желіаралық қалқандардың артықшылықтарын қарастырдым.

3. wp-admin каталогын құпия сөзбен қорғаңыз - wp-admin қалтасы сайтыңыздағы ең маңызды қалталардың бірі болып табылады. Әрине, ол хакерлердің назарын аударады. Сондықтан оны құпия сөзбен қорғау тамаша қадам болып көрінуі мүмкін, бірақ нәтиже бермейді.

wp-admin каталогын қорғайтын құпия сөз WordPress веб-сайтындағы AJAX функционалдығын бұзады. AJAX - қазіргі уақытта көрсетілген бетті өзгертпей серверден веб-сайтыңыздың бөліктерін жүктеп алатын кодтау әдісі.

Егер бұл бос сөз сияқты көрінсе, бұл дегеніміз, бірдеңе өзгерген сайын пайдаланушыларды үнемі қайта жүктемей-ақ сайтыңызды динамикалық етеді.

Әлеуметтік медиа арнасын айналдыру туралы ойланыңыз. Жаңа әңгімелер немесе твиттер экранда бұрыннан барларды оқып жатқан кезде жүктеледі және жаңа мазмұнды жүктегіңіз келген кезде жаңалықтар арнасын жаңартуға болады.

4. WordPress нұсқасын жасыру - WordPress сайтыңыздың нұсқасын жасырудың логикасы қауіпсіздік жаңартуларына байланысты. Егер сіздің веб-сайтыңызда WordPress-тің соңғы нұсқасы жұмыс істемесе, хакер ескі нұсқада бар осалдықты пайдалануы мүмкін. Дегенмен, WordPress нұсқасын жасырудың пайдасы жоқ. Веб-сайттың WordPress нұсқасын анықтаудың бірнеше жолы бар: сайттың сыртқы кодын тексеру, RSS арнасын тексеру және т.б. Олардың барлығы заңды, айтпақшы.

Ескі нұсқалардағы WordPress осалдықтарымен күресудің жолы - нұсқаңызды соңғысына жаңарту. Көптеген веб-сайт әкімшілері тікелей сайтты жаңарту оны бұзуы мүмкін деп қорқады. Сондықтан оны алдымен сынақ алаңында жасаған дұрыс.

Егер сіздің сайтыңыз бұзылса не істеу керек?

Егер сіздің сайтыңыз жақында бұзылған болса, сіздің сайтыңыздың қауіпсіздігіне өте мұқият болу одан да маңызды. Егер дұрыс жасалмаса, бұл сайтты қайта бұзуға әкелуі мүмкін және бүкіл жағдай толық қорқынышты арманға айналады.

1. Алдымен зиянды бағдарламаны тазалаңызЖ: Зиянды бағдарламаны із қалдырмай автоматты түрде жою үшін жақсы қауіпсіздік плагинін пайдаланыңыз.
2. Барлығын жаңартыңызA: Жоғарыда айтқанымдай, бағдарламалық құралды жаңарту өте маңызды. Сізде WordPress-тің соңғы нұсқалары, тақырыптар және плагиндер орнатылғанына көз жеткізіңіз. Олай етпесеңіз, бұл сіздің сайтыңыздың бірінші кезекте бұзылған себебі болуы мүмкін.
3. Әрбір әкімші пайдаланушыны қараңыз: Әрбір әкімші тіркелгісін мұқият қарап шығыңыз. Біз бұл туралы осы мақалада айтқан болатынбыз, бірақ зиянды бағдарлама табылған жағдайда хакерлер бұзылған веб-сайтқа кіруді қалпына келтіру үшін әкімші тіркелгілерін жасайды.
4. Барлық құпия сөздерді өзгертіңіз. Тіркелгі деректеріңіз бұзылды делік, құпия сөздеріңізді өзгертіңіз. Сіз әртүрлі өнімдер мен қызметтер үшін бірдей құпия сөзді пайдаланбайсыз деп үміттенемін, әйтпесе қалған құпия сөздерді де өзгертуіңіз керек.
5. Дерекқордың тіркелгі деректерін өзгерту (мүмкіндігінше): wp-config.php файлында WordPress сайты сайттың дерекқорына қосылу үшін пайдаланатын тіркелгі деректері бар. Көптеген жағдайларда, дерекқор тіркелгі деректері бұзылған болса да, дерекқорға кіру шектеледі. Дегенмен, кейбір хосттарда хакерлер бұл ақпаратты дерекқорды тікелей өзгерту үшін пайдалана алады. Бұл сайттың қайта инфекциясына әкелуі мүмкін.
6. Қауіпсіздік кілттерін өзгертіңізA: WordPress тіркелген пайдаланушылар үшін сеанстарды басқару үшін қауіпсіздік кілттерін пайдаланады.
7. WordPress брандмауэрін орнатыңыз: Мен бұл туралы осы мақалада егжей-тегжейлі қарастырдым. WordPress брандмауэрі зиянды боттардан және жаман трафиктен ең жақсы қорғаныс болып табылады.

Барлығы бір WP қауіпсіздік және брандмауэр - WordPress сайтының қауіпсіздігі

Қысқаша айтқанда: Сайтты қорғаудың ең оңай жолы – сайттың қауіпсіздік плагинін орнату, мысалы: All In One WP Security & Firewall – бұл жан-жақты, пайдалану оңай, тұрақты және жақсы сақталған WordPress қауіпсіздік плагині.
All In One WP Security & Firewall келесі мүмкіндіктерге ие:

1. Пайдаланушы тіркелгісінің қауіпсіздігі

• Әдепкі пайдаланушы аты "admin" бар пайдаланушы тіркелгісінің бар-жоғын анықтаңыз және пайдаланушы атын өзіңіз таңдаған мәнге оңай өзгертіңіз.
• Плагин сонымен қатар сізде бірдей логиндері мен дисплей атаулары бар WordPress пайдаланушы тіркелгілері бар-жоғын анықтайды. Жүйеге кіру атымен бірдей көрсетілетін есептік жазбаның болуы қауіпсіздіктің нашар тәжірибесі болып табылады, себебі сіз 50% құрылғысында дайын хакерлерге арналған логин жасайсыз, себебі олар логинді әлдеқашан біледі.
• Өте күшті құпия сөздерді жасауға мүмкіндік беретін құпия сөзді күшейту құралы.
• Пайдаланушылар тізімін тоқтату. Осылайша, пайдаланушылар/боттар автордың тұрақты сілтемесі арқылы пайдаланушы ақпаратын таба алмайды.

2. Пайдаланушыға кіру қауіпсіздігі

• Жүйеге кіруді бұғаттау мүмкіндігімен «Қауіпсіз күшпен кіру шабуылынан» қорғаңыз. Белгілі бір IP мекенжайы немесе ауқымы бар пайдаланушылар конфигурация параметрлеріне байланысты алдын ала анықталған уақыт кезеңіне жүйеден тыйым салынады және сіз де хабарландырулар аласыз.
  тым көп кіру әрекеттеріне байланысты біреу бұғатталған кезде электрондық пошта арқылы.
• Әкімші ретінде сіз барлық блокталған пайдаланушылардың тізімін көре аласыз, ол оңай оқылатын және шарлау оңай кестеде көрсетіледі, сонымен қатар түймені басу арқылы жеке немесе топтық IP мекенжайларын бұғаттаудан шығаруға мүмкіндік береді.
• Конфигурацияланатын уақыт кезеңінен кейін барлық пайдаланушылардан шығуға мәжбүрлеу.
• Пайдаланушының IP мекенжайын, пайдаланушы идентификаторын/пайдаланушы атын және сәтсіз кіру әрекетінің күнін/уақытын көрсететін сәтсіз кіру әрекеттерін қадағалаңыз/қараңыз.
• Пайдаланушы атын, IP мекенжайын, кіру күнін/уақытын және жүйеден шығу күнін/уақытын қадағалау арқылы жүйеңіздегі барлық пайдаланушы тіркелгілерінің тіркелгі әрекетін бақылаңыз/қараңыз.
• Жарамсыз пайдаланушы атымен кіруге тырысатын IP мекенжайларының ауқымын автоматты түрде блоктау мүмкіндігі.
• Қазіргі уақытта сіздің сайтыңызға кірген барлық пайдаланушылардың тізімін көру мүмкіндігі.
• Арнайы ақ тізімде бір немесе бірнеше IP мекенжайларын көрсетуге мүмкіндік береді. Ақ тізімге енгізілген IP мекенжайлары сіздің WP кіру бетіне қол жеткізе алады.
• WordPress кіру пішініне Google reCaptcha немесе қарапайым математикалық каптча қосыңыз.
• WP кіру жүйеңіздің ұмытылған құпия сөз пішініне Google reCaptcha немесе қарапайым математикалық captcha қосыңыз.

3. Пайдаланушыны тіркеу қауіпсіздігі

• WordPress пайдаланушы тіркелгілерін қолмен тексеруді қосыңыз. Егер сіздің сайтыңыз адамдарға WordPress тіркелу формасы арқылы өз тіркелгілерін жасауға мүмкіндік берсе, әрбір тіркеуді қолмен растау арқылы СПАМ немесе жалған тіркеулерді азайтуға болады.
• Сізді спам пайдаланушы тіркеуінен қорғау үшін WordPress пайдаланушы тіркеу бетіне Google reCaptcha немесе қарапайым математикалық каптча қосу мүмкіндігі.
• Боттардан тіркелу әрекеттерінің санын азайту үшін WordPress пайдаланушыны тіркеу пішініне Honeypot қосу мүмкіндігі.

4. WordPress дерекқорын қорғау

• Түймені басу арқылы әдепкі WP префиксін таңдаған мәнге оңай орнатыңыз.
• Автоматты сақтық көшірмелерді және электрондық пошта хабарландыруларын жоспарлаңыз немесе бір рет басу арқылы кез келген уақытта жедел ДБ сақтық көшірмелерін алыңыз.

5. WordPress сайтының файлдық жүйесінің қауіпсіздігі

• Қауіпсіз рұқсат параметрлері бар файлдарды немесе қалталарды анықтаңыз және түймені басу арқылы ұсынылған қауіпсіз мәндерге рұқсаттарды орнатыңыз.
• WordPress әкімші аймағында файлдарды өңдеуді өшіру арқылы PHP кодын қорғаңыз.
• Барлық хост жүйесінің журналдарын бір мәзір бетінен оңай қарап шығыңыз және бақылаңыз және серверде орын алған кез келген мәселелер немесе мәселелер бойынша жаңарып отырыңыз, осылайша оларды жылдам шеше аласыз.
• Адамдардың WordPress сайтыңыздың readme.html, license.txt және wp-config-sample.php файлдарына кіруіне жол бермеңіз.

6. htaccess және wp-config.php файлдарының сақтық көшірмесін жасаңыз және қалпына келтіріңіз

• Бұзылған функционалдылықты қалпына келтіру үшін қажет болған жағдайда түпнұсқа .htaccess және wp-config.php файлдарының сақтық көшірмесін оңай жасаңыз.
• Ағымдағы белсенді .htaccess немесе wp-config.php файлдарының мазмұнын әкімші панелінен бірнеше рет басу арқылы өзгертіңіз.

7. Қара тізім функциясы

• IP мекенжайларын көрсету арқылы пайдаланушыларды блоктаңыз немесе IP мекенжайларының ауқымын көрсету үшін қойылмалы таңбаны пайдаланыңыз.
• Пайдаланушы агенттерін көрсету арқылы пайдаланушылардан бас тартыңыз.

8. Брандмауэр функциясы

Бұл плагин htaccess файлы арқылы веб-сайтыңызға көптеген брандмауэр қорғау элементтерін оңай қосуға мүмкіндік береді. htaccess файлын веб-сервер сайтыңыздағы кез келген басқа кодтан бұрын өңдейді.
Осылайша, брандмауэрдің бұл ережелері зиянды сценарийлерді сіздің сайтыңыздағы WordPress кодын алу мүмкіндігіне ие болғанға дейін тоқтатады.

• Қол жеткізуді басқару объектісі.
• Негізгі, аралық және қосымшадан бастап брандмауэр параметрлерінің жинағын бірден белсендіріңіз.
• Әйгілі "6G қара тізімі" брандмауэр ережелерін тез бұзылатын баспасөз арқылы қосыңыз.
• Прокси арқылы пікірлерді жариялауды өшіріңіз.
• Түзету журналының файлына кіруді блоктау.
• Бақылауды және бақылауды өшіріңіз.
• Жарамсыз немесе зиянды сұрау жолдарын қабылдамаңыз.
• Жетілдірілген таңбалар жолы сүзгісін белсендіру арқылы өзіңізді тораптар арасындағы сценарийден (XSS) қорғаңыз.
  немесе шолғышында арнайы cookie файлы жоқ зиянды боттар. Сіз (сайт әкімшісі) осы арнайы cookie файлын қалай орнату керектігін білесіз және сайтыңызға кіре аласыз.
• WordPress PingBack осалдықтарынан қорғау мүмкіндігі. Бұл брандмауэр мүмкіндігі пайдаланушыға пинг мүмкіндігіндегі кейбір осалдықтардан қорғау үшін xmlrpc.php файлына кіруден бас тартуға мүмкіндік береді. Бұл сонымен қатар боттардың xmlrpc.php файлына үнемі қатынасуын блоктау және сервер ресурстарын ысырап ету үшін де пайдалы.
• Жалған Googlebots сайтыңызды тексеріп шығуға тыйым салу мүмкіндігі.
• Кескінді байланыстыруды болдырмау мүмкіндігі. Мұны басқалардың суреттеріңізге ыстық сілтеме жасауына жол бермеу үшін пайдаланыңыз.
• Сайттағы барлық 404 оқиғаны тіркеу мүмкіндігі. Сондай-ақ тым көп 404 қате алатын IP мекенжайларын автоматты түрде блоктауға болады.
• Сайтыңыздағы әртүрлі ресурстарға кіруді блоктау үшін өз ережелеріңізді қосу мүмкіндігі.

9. Жүйеге кіру шабуылының алдын алу

• Теңшелетін cookie файлдарына негізделген логин дөрекі күштердің алдын алу мүмкіндігімізбен дөрекі күш шабуылдарын лезде блоктаңыз. Бұл брандмауэр мүмкіндігі адамдар мен боттардың барлық кіру әрекеттерін блоктайды.
• Күшті шабуылдардан қорғау үшін WordPress кіру пішініне қарапайым математикалық captcha қосу мүмкіндігі.
• Әкімшіге кіру бетін жасыру мүмкіндігі. Боттар мен хакерлердің WordPress кіру URL мекенжайына кіруіне жол бермеу үшін WordPress кіру бетінің URL атауын өзгертіңіз. Бұл мүмкіндік әдепкі кіру бетін (wp-login.php) өзіңіз реттейтін нәрсеге өзгертуге мүмкіндік береді.
• Роботтардан дөрекі күш қолдану арқылы кіру әрекеттерінің санын азайтуға көмектесетін Login Honeypot мүмкіндігін пайдалану мүмкіндігі.

10. Веб-сайт файлдарының қауіпсіздігі сканері

• Файлды өзгертуді анықтау сканері WordPress жүйесінде қандай да бір файлдар өзгертілгенін ескертеді. Содан кейін сіз оның заңды өзгеріс болғанын немесе кейбір нашар код енгізілгенін зерттеп, көре аласыз.

11. Түсініктеме спамынан қорғау

• Ең көп спам-пікірлерді дәйекті түрде шығаратын ең белсенді IP мекенжайларын қадағалаңыз және оларды бір түймені басу арқылы бірден блоктаңыз.
• Пікірлердің жіберілуіне жол бермеңіз, егер олар сіздің доменіңізден болмаса (бұл сіздің сайтыңызда спам-боттар жариялаған пікірлердің санын азайтуы керек).
• Пікір спамынан қорғауды жақсарту үшін WordPress түсініктеме пішініне captcha қосыңыз.
• СПАМ ретінде белгіленген түсініктемелердің белгілі бір санынан асатын IP мекенжайларын автоматты түрде және біржола бұғаттаңыз.

12. Алдыңғы көшірмені қорғау мәтіні

• Тінтуірдің оң жақ түймешігімен нұқуды, мәтінді таңдауды және фронтенд үшін көшіру опциясын өшіру мүмкіндігі.

13. Плагиннің қосымша мүмкіндіктері

• Сайтыңыздың HTML бастапқы кодынан WordPress генераторының мета ақпаратын жою мүмкіндігі.
• Сайтыңыздың JS және CSS файлдарынан WordPress нұсқасы туралы ақпаратты жою мүмкіндігі.
• Адамдардың readme.html, license.txt және wp-config-sample.php файлдарына кіруіне жол бермеу мүмкіндігі.
• Түрлі ішкі тапсырмаларды орындау кезінде (сайттың қауіпсіздік шабуылдарын тексеру, сайт жаңартуларын орындау, техникалық қызмет көрсету және т.
• Қауіпсіздік параметрлерін экспорттау/импорттау мүмкіндігі.
• Басқа сайттардың мазмұныңызды кадр немесе iframe арқылы көрсетуіне жол бермеңіз.

Бұл веб-сайт қауіпсіздігімен айналысуға уақыты жоқ адамдар үшін өте қолайлы. Тек плагинді орнатып, ұмытыңыз. Бірақ қауіпсіздікті күшейту үшін қосымша уақытыңызды ала алсаңыз, жоғарыда аталған шаралардың барлығын орындауды ұсынамын.

Шығару

Мен бұл мақаланы нақты көрсеткішпен веб-сайтты қалай қорғауға болатыны туралы бастадым: бірінші қадам - ​​сіздің сайтыңыздың қауіпсіздігін қамтамасыз ету. Бұл үздіксіз процесс. Кез келген ұйымда сайттың қауіпсіздігін барынша бақылауға мүмкіндік беру үшін мерзімді аудиттер жүргізу жақсы стандартты тәжірибе болып табылады. Қауіп пейзажы үнемі өзгеріп отырады және хакерлер қауіпсіздікті бұзудың шығармашылық жолдарын табады. Қауіпсіздік сарапшылары үнемі қырағы болып қалады және бұл бәрінен негізгі қорытынды: босаңсуға болмайды.

Осы мақаланы оқу:

• Зиянды бағдарлама мен вирустың айырмашылығы неде? (түсіндіру)
• Веб-сайтыңыздың қауіпсіздігін жақсарту үшін 10 маңызды қадам

Оқығаныңыз үшін рахмет: SEO HELPER | NICOLA.TOP